信息安全综合实验.pptx

信息安全综合实验张焕杰中国科学技术大学网络信息中心james@0/~james/nmsTel: 3601897(O)第五章 入侵检测原理与Snort的使用课程目的学习入侵检测基本原理通过snort系统的使用加深理解入侵检测原理PDR 安全模型策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）PDR 安全模型策略是模型的核心，意味着网络安全要达到的目标防护是安全的第一步，它的基础是检测和响应的结果检测防护对于攻击往往是滞后的，漏洞的发现或攻击手段的发明与响应的防护手段之间有个时间差，检测用来弥补时间差响应发现了攻击后，需要对系统及时反应反复的循环过程，每次循环带来防护水平的提高入侵检测IDS Intrusion Detection System入侵检测属于PDR模型的检测过程，承接防护和相应的过程是PDR模型的关键部分仅有防护的不足：防护只能考虑已知的威胁和有限的威胁防护只能尽量阻止攻击企图的得逞或延缓该过程，不能阻止各种攻击事件的发生入侵检测特性要求：经济性、时效性、安全性和可扩展性模块划分数据提取、数据分析、处理结果入侵检测分类基于异常的入侵检测正常行为往往有一定的规律，通过分析相关数据可以总结出该规律入侵和滥用行为通常与正常的行为有严重差异通过检测这些差异来检测入侵如：平时icmp的数据包数量、类型是一种表现，系统感染了冲击波病毒时的icmp数据包的数量和类型是另一种表现商用不多，研究为主入侵检测分类基于误用的入侵检测通过某种模式或信号标示攻击，可以检测出已知的攻击，对未知的攻击手段无能为力常用的是模式匹配系统模式匹配检测入侵信号层次存在只要存在某个审计事件就说明发生了入侵行为或企图，对应存在模式如：HTTP 访问 ../cmd.exe…序列一组事件的序列，对应序列模式如：icmp数据包连续5秒钟超过100pkt/s模式匹配检测入侵信号层次规则表示一组事件的逻辑表示，事件没有顺序关系如：icmp数据包连续5秒钟超过100pkt/s其他更加复杂的表示存在模式∈ 序列模式∈ 规则表示模式∈ 其他模式模式的关系入侵检测系统分类主机模式通过对主机系统的信息进行分析来检测分析的数据源可以是各种日志网络模式通过对网络上的信息进行分析来检测抓包Snort入侵检测系统